民机电子飞行控制系统安全性设计与验证

唐志帅， 刘兴华

(上海飞机设计研究院，上海 201210)

民机电子飞行控制系统安全性设计与验证

唐志帅， 刘兴华

(上海飞机设计研究院，上海 201210)

目前CCAR(China Civil Aviation Regulations,中国民航规章)25部的规章要求主要针对传统机械操纵飞机，随着电子飞行控制系统(Electronic Flight Control System, EFCS)在现代民机上的广泛应用，在数字信号完整性、25.671条款、25.1309条款等方面产生了一些新的适航要求，以达到传统设计相同的或等效的安全水平。介绍了民机EFCS安全性评估过程，然后针对EFCS安全性设计特点，总结了适用的适航要求和符合性验证方法，对国内民机研制具有一定的借鉴意义。

飞机；电子飞行控制系统；安全性评估；适航；验证

0 引 言

民用飞机的主发动机除了为飞机提供正/反推力，还为飞机上的液压、气压、电气、机械等次级功率系统提供源动力。多种次级功率的存在造成飞机上接口繁多，可靠性和维修性较差，使用成本增高。因此多电飞机技术的研究成为飞机发展的重要方向，目前国内外最新的民用飞机大多安装了电子飞行控制系统，不仅驾驶舱和飞控电子设备实现了多电或全电，作动系统也越来越多地使用机电作动器替换之前的液压作动器。B787飞机飞控系统就采用了机电作动器来控制两对扰流板和水平安定面，当丧失所有液压源时，仍可通过机电作动器完成俯仰和滚转控制。

对于采用EFCS飞机的适航安全性设计，主要包括安全性需求的产生、分解和实现。民机EFCS的安全性设计过程需捕获飞机级和适航规章中的安全性需求，通过功能危险性评估(Functional Hazard Assessment, FHA)和初步系统安全性评估(Preliminary System Safety Assessment, PSSA)将定性和定量的需求分解到飞控系统各软硬件[1]。然而，针对传统机械操纵飞机所制定的适航规章要求(例如CCAR 25.1309)已不能完全适用于EFCS。根据近年来国内外适航当局的研究成果，针对EFCS的特点也产生了一些新的适航要求，这些新的适航要求及其符合性验证方法成为了当前研究的热点。

1 EFCS安全性评估过程

SAE(Society of Automotive Engineers, 美国汽车工程师协会)ARP4761提供了民用飞机机载系统和设备在合格审定过程中进行安全性评估的指南和方法，其主要用于表明对25.1309，25.671等适航条款的符合性[2]。飞控系统设计中的安全性工作是飞机级安全性工作的继续。系统安全性评估过程始于系统概念设计阶段，建立安全性目标以支持系统的设计工作。安全性评估过程结束的标志是验证了系统设计满足所有的安全性需求。

安全性评估内容主要包括FHA、PSSA和系统安全性评估(System Safety Assessment, SSA)，其分析方法包括故障树分析(Fault Tree Analysis, FTA)、关联图分析、马尔可夫分析、失效模式与影响分析/摘要(Failure Modes and Effects Analysis/Summary, FMEA/FMES)和共因分析(Common Cause Analysis, CCA)。图1所示给出了飞机研制周期内安全性评估与系统研制过程的关系。在整个安全性工作中，主机单位和供应商均参与其中，他们的大致分工也如图1所示。

图1 安全性评估与系统研制过程的关系

FHA在飞机/系统研制周期开始时进行，此工作应识别飞机/系统功能及其功能组合相关的失效状态并进行影响等级分类，然后建立相应的安全性目标。FHA的目的在于识别所有失效状态，明确其影响等级和进行等级分类的基本理由。FHA是安全性设计的顶层要求，它的输出是PSSA的起点。

飞机级/系统级功能定义是飞机级/系统级FHA的重要输入。一般情况下飞机级功能可划分为飞机基础功能(外部功能)、功能和子功能等三个或四个功能级别(具体划分多少层级，无明确要求)。系统级功能可分为一个或两个层级，第一层级为系统功能，可根据飞机级子功能完成定义；第二层为系统级子功能，可根据系统复杂程度确定是否需要定义。图2所示给出了功能层级划分的说明。

图2 飞机和系统功能层次与FHA的关系

在开展FHA的时候，需要选择一个合适的层级。飞机级FHA可选择图2第二/三层功能定义开展功能危险性评估，这样能将FHA的失效状态总数控制在一个合适的量级，同时兼顾一些组合失效对飞机的影响。如果选择第四层功能开展功能危险性评估，由于这一层飞机级子功能已涉及到具体的系统功能，因此难以覆盖各系统之间组合失效的情况。

PSSA对所建议的系统架构进行系统性检查，建立系统的安全性要求，并确定所建议的系统架构能够满足FHA识别的安全性目标。SSA是对所实现的系统进行系统性和全面的评价，以表明满足从FHA得到的安全性目标以及从PSSA得到的衍生安全性要求。SSA应包含相应的共因分析结果。

CCA通过评价整个架构对共因事件的敏感度，支持系统架构的设计。这些共因事件通过完成下列分析来进行评价：特定风险分析(Particular Risk Analysis, PRA)，共模分析(Common Mode Analysis, CMA)和区域安全性分析(Zonal Safety Analysis, ZSA)。

当PSSA或SSA进行FTA时，维修任务相关的故障检测方法和暴露时间必须与飞机级规定的维修任务和时间间隔相一致。安全性评估过程不只是定量的，也包括研制保障等级、电磁/闪电防护要求等。

2 EFCS安全性设计的特点

飞控系统安全性设计过程中，应捕获25.1309，25.671等适航条款的要求。但随着EFCS的广泛应用，针对EFCS的特点也产生了新的适航要求。

2.1 飞控系统指令信号完整性问题

传统的飞行控制系统采用机械或液压-机械方式将指令信号传输到各控制舵面。其失效模式数量有限且相对简单(如卡阻、脱开、液压元件的结构失效等)，因此能够相对直接地确定干扰指令传输的原因。但电子飞行控制系统包含数字设备、软件和电子接口，经验表明来自内部/外部的干扰源对电子数字传输线路上的信号可能产生干扰(例如数据位的丢失、传输延迟、传感器噪声、闪电、电磁干扰等)。同时考虑到EFCS设备的复杂性，失效模式也不像传统机械控制系统那样，容易被预测、分析和处理。

现行CCAR25.671和25.672等条款没有对指令信号完整性做出专门要求[3]。因此为了保持与现行CCAR25部等效的安全水平。适航当局通常会要求EFCS在设计时，应该使用特殊的设计手段使系统完整性保持在至少等效于传统的液压-机械设计所具有的安全水平，而且可能背离预期特性的指令信号，不应导致不可接受的系统响应。

这些专门的设计手段需通过系统安全性分析过程进行监控。

2.2 25.671条款的修正案

25.671条款用于确保飞行控制系统的基本完整性和可用性，确保服役过程中曾发生的任何失效都是飞行机组能处理的，并不会妨碍飞机持续安全飞行和着陆。但其要求主要针对传统机械操纵飞机，部分要求对于EFCS不能完全适用。

2002年，FAA(Federal Aviation Administration，美国联邦航空管理局)下属的一个飞控协调工作小组递交了关于25.671条款修订的新提案以及相关的咨询通告。对飞机非正常姿态恢复、防止维修差错、飞行控制卡阻和失控、所有发动机失效情况下的可控性、操纵权限极限位置的飞行机组告警等提出新的适航要求[4]。

例如修正案中提出当已存在单个卡阻情况下，任何额外的、能够妨碍持续安全飞行和着陆的失效状态，其组合概率应小于1/1000；飞机必须设计成所有发动机在飞行中的任何点全部失效的情况下仍可操纵。这些新的适航要求应落实到系统安全性分析和架构设计中去。

2.3 25.1309的等效安全说明

FAA于2003年4月29日在《联邦注册报》上刊登了一则关于FAA的航空规章制定咨询委员会的建议稿(针对25.1301和25.1309条拟议的改动)的通告。此建议稿被认为是一种对现有的25.1301条和25.1309条的改善，不会显著地增加申请人额外的符合性验证成本，并且有益于FAA/EASA(European Aviation Safety Agency, 欧洲航空安全局)清晰的协调指南。

鉴于当前CCAR 25.1309与FAA建议的规章FAR 25.1309修订稿和EASA现行规章CS 25.1309中的要求存在差异，为了同时符合FAA/EASA/CAAC(Civil Aviation Administration of China, 中国民用航空管理总局)关于系统安全性的规章要求，可使用以下等效安全说明[5]。

1)飞机的设备和系统必须设计及安装成：

(1)那些型号合格审定或运行规则所要求的，或者其功能不正常将降低安全性的系统或设备能在飞机运行和环境条件下执行预定功能；

(2)其它设备和系统不会对飞机或其乘员，或者对(a)(1)中所覆盖系统或设备的正常工作造成不利的安全性影响。

2)飞机系统和相关组件，在单独考虑或与其它系统一起考虑时，必须设计和安装成：

(1)每一个灾难性的失效条件

①是极不可能的；

②不会由单个失效造成；

(2)每一个危险的失效条件是极小可能的；

(3)每一个重大的失效条件是很小可能的。

3)有关系统不安全工作情况的信息必须提供给机组，以使得他们能够采取适当的纠正行动。如果需要立即采取纠正行动，则必须提供警告指示。包括指示和通告在内的系统和控制必须设计成尽量使可能导致额外危险的机组错误降至最低。

3 EFCS的符合性验证

针对本文第二节EFCS特点提出的新的设计要求，应建立相应的符合性验证方法。

3.1 飞控系统指令信号完整性问题

采用EFCS的飞机，在系统架构和监控设计时，应充分考虑“指令信号完整性”问题所带来的挑战。在进行符合性验证时，可对系统架构设计进行安全性分析，表明设备故障、内部和外部干扰导致的系统失效可满足相应的概率要求。

同时有必要通过鉴定试验、铁鸟试验等表明飞控系统在预期环境下均可正常工作。结合铁鸟试验、飞行试验和模拟器试验的分析结果表明其符合性。

3.2 25.671条款的修正案

对于“25.671条款的修正案”的符合性验证，可采用描述和分析的方法，表明飞控系统操纵器件操作简便，相应的机组告警设计符合要求；飞控系统的零部件在设计上采取措施能有效防止维修差错。

可通过描述分析和模拟器试验的方法，表明飞控系统在所有发动机都失效情况下的电源/液压源/作动器配置，仍可提供操纵能力。3.3 25.1309的等效安全说明

对于“25.1309等效安全说明”各条款，可通过系统描述来表明飞控系统的设计能够保证在飞机运行和环境条件下完成预定功能，系统故障后可通过简图页、EICAS(Engine Indication and Crew Alerting System, 发动机指示和机组告警系统)、PFD(Primary Flight Display, 主飞行显示)将系统的不安全工作情况提供给机组，系统已根据故障的紧急程度设置不同的告警级别。

可通过安全性分析的方法来表明飞控系统发生灾难性失效条件的概率为极不可能(≤1E-9/FH)，发生危险失效条件的概率是极小可能的(≤1E-7/FH)，发生重大的失效条件是很小可能的(≤1E-5/FH)。

也可通过试验室试验、机上地面试验和飞行试验进一步验证其符合性。

4 结束语

本文介绍了民机电子飞行控制系统的安全性评估过程，重点说明了需开展的安全性活动及飞机/系统功能层级划分原则。然后针对EFCS安全性设计特点，总结了适用的适航要求及对应的符合性验证方法，以达到传统机械操纵系统相同的或等效的安全水平。

[1] Society of Automation Engineering. SAE ARP 4754A, Guidelines for development of civil aircraft and systems[S].USA: Society of Automation Engineering S-18 Committee, 2010.

[2] Society of Automation Engineering. SAE ARP 4761, Guidelines and methods for conducting the safety assessment process on civil airborne systems[S].USA: Society of Automation Engineering S-18 Committee, 1996.

[3] 中国民用航空局. CCAR-25-R4, 中国民用航空规章第25部运输类飞机适航标准[S]. 中国：中国民用航空局，2011.

[4] Federal Aviation Administration. FAR/JAR 25.671 FCHWG-ARAC Report (Includes Rule, Advisory Material, & Alternate Recommendations) [R]. USA: Aviation Regulation Advisory Committee, 2011.

[5] Aviation Rulemaking Advisory Committee of Federal Aviation Administration. AC 25.1309-1B draft, system design and analysis[S].USA: Transport Airplane and Engine Issue Area Systems Design and Analysis Harmonization Working Group, 2002.

Safety Design and Verification of Electronic Flight Control System in Civil Aircraft

Tang Zhishuai， Liu Xinghua

(Shanghai Aircraft Design and Research Institute, Shanghai 201210, China)

Currently, the major part of regulatory requirements in 25 volumes of CCAR (China Civil Aviation Regulations) involves the traditional airplanes with mechanical control. Along with the extensive application of electronic flight control system (EFCS) in modern civil aircraft, some new airworthiness requirements are brought forth in terms of digital signal integrity, 25.671 provision, 25.1309 provision, etc. to achieve an identical and equivalent safety level as the traditional design. This article describes the EFCS safety assessment process for civil aircraft. Summarizing the applicable airworthiness requirements and compliance verification method against EFCS safety design features has certain significance for the development of domestic civil aircraft.

airplane；electronic flight control system；safety assessment；airworthiness；verification

10.3969/j.issn.1000-3886.2016.06.006

V37

A

1000-3886(2016)06-0017-03

唐志帅(1987-)，男，河南人，工程师，硕士，主要研究方向为民机飞控系统设计、安全性分析。 刘兴华(1981-)，男，山东人，高级工程师，博士，主要研究方向为民机飞控系统设计、分析与验证。

定稿日期: 2016-04-15